本文主要介绍云日志服务的数值图。 数值图是一种直观的数据可视化图表，它通过数字方式展示关键数据点或指标。这种图表类型特别适用于强调和突出显示最重要的信息，能够去除多余的细节，让关键数据一目了然。 数字图的主要特点包括： 简洁性 ：通过简化设计，去除不必要的元素，使得图表只展示最关键的数据点。 突出重点 ：数值图专注于展示一个或少数几个关键指标，使其成为视觉焦点。 易于理解 ：由于信息量有限，用户可以迅速把握图表所传达的信息。 快速传递信息 ：数值图可以迅速地向用户传达核心数据，无需深入分析。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击数值图。 6. 结果将以数值图的形式展示。

分类 功能点 功能说明 总览 资源概览 可视化资源概览，全局资源统计和审计日志 注册集群 天翼云集群 一键关联天翼云容器集群，支持跨区域、跨地域集群 注册集群 三方云集群 纳管三方公有云上的 Kubernetes 集群，如阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等 注册集群 本地集群 纳管本地满足CNCF标准的IDC自建或私有云上的 Kubernetes 集群 集群管理 接入配置 通过应用 YAML 文件到目标集群，快速实现云上纳管 集群管理 操作日志 注册集群的业务日志、施工日志等关键日志信息 集群管理 集群控制台 统一管理控制台，云上云下一致性操作体验 容器舰队 集群编排 根据业务自定义舰队，一键编排，实现多集群批量管理 集群联邦 负载分发 标准 Kubernetes 及CDR的多集群动态分发 集群联邦 联邦伸缩 集群联邦可根据业务负载进行弹性伸缩

套件名称 套件说明 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 为集群提供集群巡检、故障诊断等能力。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

本节主要介绍产品优势 数据管理服务支持MySQL等类型主流版本实例管理。提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。 随时随地 使用Web界面呈现，无需安装本地客户端，随时随地可用。 内核源码优化 围绕运维痛点，对内核进行优化和加强，提供了诸如连接被打满时的数据库紧急运维能力、全量SQL语句的记录和分析能力等。 操作安全保障 内置安全保护措施，有效保障数据库的稳定运行，让用户操作起来更安心。例如：用户执行一个慢SQL时，DAS会自动设置超时机制，防止因慢SQL执行时间过久而导致的数据库性能抖动。 特性丰富 DAS提供更多高级特性，例如：SQL语句诊断、SQL任务定时执行、10G容量的数据导入导出、跨实例的数据库表结构同步，支持MySQL等多种数据库类型。

在CCE上创建工作负载后，可以使用AOM进行运维。 创建工作负载时，建议在AOM侧配置监控告警，以便异常时能及时收到告警。若未配置监控告警，工作负载异常时无法及时收到告警，需要人工巡检环境。 应用运维管理（Application Operations Management，简称AOM）是云上应用的一站式立体化运维管理平台，实时监控您的应用及相关云资源，采集并关联资源的各项指标、日志及事件等数据共同分析应用健康状态，提供灵活的告警及丰富的数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况，快速锁定问题根源，保障业务顺畅运行。 常用操作 当您想要关注某些资源的变更信息时，可对这些资源的指标创建阈值规则。 在日常运维中，通过仪表盘可实时掌握全局。您可以创建并添加关注的内容到仪表盘。 日常巡检应用。

本章节主要介绍数据治理中心DataArts Studio产品的优势。 一站式数据运营平台 贯穿数据全流程的一站式治理运营平台，提供全域数据集成、标准规范设计、连接并萃取数据价值、全流程数据质量监控、统一数据资产管理、数据开发服务等，帮助企业构建完整的数据中台解决方案。 丰富的数据开发类型 支持多人在线协作开发，脚本开发可支持SQL、Shell在线编辑、实时查询；作业开发可支持CDM、SQL、MR、Shell、MLS、Spark等多种数据处理节点，提供丰富的调度配置策略与海量的作业调度能力。 统一调度和运维 全面托管的调度，支持按时间、事件触发的任务触发机制，支持分钟、小时、天、周和月等多种调度周期。 可视化的任务运维中心，监控所有任务的运行，支持配置各类报警通知，便于责任人实时获取任务的情况，保证业务正常运行。

云堡垒机（原生版）权限及授权项 策略支持的操作与授权项相对应，授权项列表说明如下： 权限：允许或拒绝IAM用户某项操作。 授权项：授权操作对应的权限三元组，创建自定义策略时，支持可视化JSON视图写入权限三元组实现策略配置。 权限类型：授权操作对应的读写类型。 权限 授权项 权限类型（读/写） ctcbh admin ctcbh viewer 实例列表查询 osm:instance:list 读 ✓ ✓ 云堡垒机管理员身份登录 osm:instance:loginAsAdmin 写 ✓ × 实例开机 osm:instance:poweron 写 ✓ × 实例关机 osm:instance:poweroff 写 ✓ × 实例重启 osm:instance:restart 写 ✓ × 实例升级 osm:instance:upgrade 写 ✓ × 实例绑定弹性IP osm:instance:bindEip 写 ✓ × 云堡垒机实例开通 osm:instance:create 写 ✓ × 通过IAM授权使用云堡垒机（原生版） 详细操作请参考： 1. 创建用户组并授权 2. 创建IAM用户并登录

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

本文介绍如何根据业务场景选择合适的天翼云弹性云主机实例。 规格选型背景介绍 进行弹性云主机选型之前，您需要根据资源需求、可用性和可靠性、成本等因素，做出性价比最优的决策。通常需要考虑以下几个方面： 预估资源需求：针对不同的业务需求，结合业务的使用场景、负载大小、流量等因素，预估需要的CPU、内存、存储等资源，以此来选择合适的弹性云主机实例类型。 可用性要求：根据业务可用性要求，选择不同可用区或者不同地域的弹性云主机部署业务，提高业务系统的容灾能力。 可靠性要求：选择弹性云主机实例时，综合考虑业务架构整体的可靠性要求，选择与数据库、中间件等产品相匹配的弹性云主机，确保实例能够持续稳定地运行。 考虑成本：不同的实例类型价格不同，一般来说更大的内存、vCPU、带宽价格更高，需要权衡性价比，根据实际需求选择合适的实例类型。 场景选型 常见业务选型推荐 业务场景 选型原则 推荐实例类型 Web服务器、开发测试环境以及小型数据库应用等场景。 计算、存储、内存等资源需求平衡，无特定配置要求。 通用型，推荐最小规格为2核4G通用型云主机 计算性能高且稳定的企业级应用，如大规模数据处理、在线游戏等。 对CPU 或内存等计算资源要求较高，具有性能稳定且资源独享的特点。 计算型，推荐最小规格为2核4G计算型云主机 大型数据库、高性能计算、NoSQL等场景。 内存要求较高、需要大量数据计算。 内存型，推荐最小规格为2核16G内存型云主机 在深度学习、高性能数据库、计算流体动力学、计算金融、地震分析、分子建模、基因组学等领域场景，适用于科学计算等。 采用GPU直通技术，能够提供超高的通用计算能力。选型详见：NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云 (ctyun.cn)。 GPU计算加速型，推荐最小规格为16核64G GPU计算加速型云主机 高清视频、图形渲染、远程桌面等场景。 提供图形处理器(GPU)及较高的计算性能配置，镜像默认安装GRID驱动可以适用于图形渲染要求较高的应用。选型详见：NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云 (ctyun.cn)。 GPU图形加速基础型，搭配GRID驱动，推荐最小规格为8核24G GPU图形加速基础型云主机 注意 选择区域：不同区域的云服务之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。具体操作请参见如何选择区域。 选择可用区：同一可用区内网互通，不同可用区之间物理隔离。如果您需要提高应用的高可用性，建议您将弹性云主机创建在不同的可用区内。具体操作请参见如何选择可用区。

概述 本章节主要介绍记忆库管理相关功能。 记忆库为Agent提供持久化记忆能力，支持跨会话保存和检索用户交互历史、偏好信息等上下文数据。通过向量检索技术，Agent能够基于历史记忆提供个性化响应，实现真正的会话连续性。目前已支持通过MCP工具集成Agent调用和代码集成调用两种方式。 快速开始 创建记忆库后，即可通过控制台、SDK或者MCP工具完成记忆的创建、搜索和管理。 创建记忆库 操作步骤 1. 登录AgentEngine控制台。 2. 左侧菜单选择记忆库。 3. 右上方选择点击添加记忆存储按钮。 4. 打开添加记忆存储表单。 5. 当前记忆库支持的向量数据库只支持CAE部署Elasticsearch, 因此需要按照提示跳转至CAE应用中心部署Elasticsearch， 进行记忆库相关功能体验。后续会逐渐上线生产级向量数据库支持。 注意：CAE部署Elasticsearch需要消耗一定的资源，因此请在使用完毕后及时删除，以免造成不必要的费用。 6. 在CAE应用中心完成Elasticsearch部署创建后，开始进行基础信息创建。 7. 记忆库基础信息填写: 1. 名称：支持中文和英文，长度限制为1128个字符。 2. 描述（可选）：输入记忆库的描述信息 3. 表名: 在Elasticsearch中创建的表名，支持中文和英文，长度限制为1128个字符。 4. 向量维度：注意选择的向量维度需要选择的向量模型相匹配 5. 选择大语言模型和向量模型，此处需要在模型管理处添加对应的模型 8. 点击开始部署 ，等待约5s左右，状态变成运行中，表示创建成功。

概述 本章节主要介绍记忆库管理相关功能。 记忆库为Agent提供持久化记忆能力，支持跨会话保存和检索用户交互历史、偏好信息等上下文数据。通过向量检索技术，Agent能够基于历史记忆提供个性化响应，实现真正的会话连续性。目前已支持通过MCP工具集成Agent调用和代码集成调用两种方式。 快速开始 创建记忆库后，即可通过控制台、SDK或者MCP工具完成记忆的创建、搜索和管理。 创建记忆库 操作步骤 1. 登录AgentEngine控制台。 2. 左侧菜单选择记忆库。 3. 右上方选择点击添加记忆存储按钮。 4. 打开添加记忆存储表单。 5. 当前记忆库支持的向量数据库只支持CAE部署Elasticsearch, 因此需要按照提示跳转至CAE应用中心部署Elasticsearch， 进行记忆库相关功能体验。后续会逐渐上线生产级向量数据库支持。 注意：CAE部署Elasticsearch需要消耗一定的资源，因此请在使用完毕后及时删除，以免造成不必要的费用。 6. 在CAE应用中心完成Elasticsearch部署创建后，开始进行基础信息创建。 7. 记忆库基础信息填写: 1. 名称：支持中文和英文，长度限制为1128个字符。 2. 描述（可选）：输入记忆库的描述信息 3. 表名: 在Elasticsearch中创建的表名，支持中文和英文，长度限制为1128个字符。 4. 向量维度：注意选择的向量维度需要选择的向量模型相匹配 5. 选择大语言模型和向量模型，此处需要在模型管理处添加对应的模型 8. 点击开始部署 ，等待约5s左右，状态变成运行中，表示创建成功。

支持的同步对象及SQL 同步对象 结构同步支持的对象： 数据库、模式、分区表、索引、约束（外键、唯一、排他）、视图、存储过程、函数、触发器。 支持的字段类型： TINYINT、SMALLINT、INT、BIGINT、DECIMAL、NUMERIC、FLOAT、REAL、SMALLMONEY、MONEY、BIT、DATE、SMALLDATETIME、DATETIME、DATETIME2、DATETIMEOFFSET、TIME、TIMESTAMP、XML、CHAR、VARCHAR、NCHAR、NVARCHAR、BINARY、VARBINARY、IMAGE、HIERARCHYID、NTEXT、TEXT、UNIQUEIDENTIFIER。 不支持的字段类型： SQLVARIANT、GEOMETRY、GEOGRAPHY、CURSOR、ROWVERSION、SQLVARIANT、HIERARCHYID、POLYGON、FileStream 、 FileTables等。 不支持用户自定义列、列表索引表。 注意事项 每次至多同步一个库（DATABASE），同步多个库需要创建多个DTS任务。 模式：不支持系统模式的迁移。 表：不支持临时表的同步，表的索引、约束会一起同步，表的触发器，历史表关系等在全量完成之后同步。 映射规则：暂不支持名称映射。 同步对象中如果存在包含text、image类型大字段的表，建议创建大规格及以上规格的DTS实例进行同步，否则可能会导致 OOM。 如需进行增量同步，请先禁用目标数据库中已启用的触发器和外键，否则可能会导致同步任务失败或数据不一致。 系统保留名冲突：源端数据库名称绝不能与系统的保留库名重复，包括：master、tempdb、msdb、model、distribution、rdscore、sysinfo 等。 回环拓扑与主备切换禁止：数据同步默认仅允许级联拓扑，绝对不允许回环拓扑（即不支持从实例A同步到实例B，再从实例B同步到实例A）；此外，不支持源数据库发生主备切换，源库的主备切换会直接导致同步任务失败。 默认值函数强依赖：同步表结构时，若源库使用了now、newid、getutcdate、getdate 作为默认值，目标库必须具备同功能函数；若目标库不存在，会导致默认值被置空，或建表失败造成任务中断。

周期性对比 周期性对比是DRS定时对源数据库与目标数据库表的行数或对象进行对比，并展示结果。 步骤 1 在“实时迁移管理”界面，选中指定迁移任务，单击任务名称，进入“基本信息”页签。 步骤 2 单击“迁移对比”页签，进入“迁移对比”信息页面。 步骤 3 选择“周期性对比”页签，单击“修改对比策略” 步骤 4 在“修改对比策略”对话框中，开启周期性对比并设置对比频率、时间等策略，单击“是”完成设置。 说明 开启后，DRS会按照设置的定时策略进行行数或对象对比，对比结果需要在对应的数据级对比或对象级对比页签中查看。 关闭周期性对比后，下一次的周期性对比将不会再进行，历史对比结果仍可正常查看。 修改检查设置不会影响当前在进行的周期性对比任务，修改后的设置下次生效。 周期性对比会在源和目标端执行一定的读取操作，请选择无业务期时间点进行对比。 周期性对比自动剔除超大表（行数超过一亿行），该类大表建议采用数据级对比功能进行抽查，不建议作为周期性对比表。 当对比频率选择每周对比但是勾选全部对比时间（即周一到周日全部勾选）时，任务会根据设置将任务的对比频率自动转换为每天对比。 结束 创建快捷对比 为了加快割接过程，简化对比的操作步骤，提升操作效率，DRS提供快捷对比的功能，无需进入具体实例，在迁移管理界面即可进入对比界面。该功能只支持对比所有迁移对象，且只有增量迁移中的任务才可以使用该功能。 步骤 1 在“实时迁移管理”页面，选择指定的实时迁移任务，单击“操作”列的“数据对比”。 步骤 2 在“创建对比任务”页面，根据业务需要，选择“立即启动”或“稍后启动”后，单击“是”启动对比任务。 结束

本文为您介绍DRDS实例的全局日志(全局Binlog),以及使用流程。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 全局Binlog介绍 DRDS实例的全局日志（全局Binlog）是一种二进制日志文件，内容包括该DRDS实例所有的DML操作以及DDL操作，同时为了便于一致性恢复，全局Binlog中也包含DRDS实例元数据和全局一致性位点信息。DRDS全局Binlog兼容MySQL Binlog格式，由CDC（Change Data Capture）节点生成。CDC节点完全兼容MySQL的Binlog dump协议，第三方程序可以像消费（即使用工具实时解析或处理全局Binlog，或进行数据同步等）单个MySQL实例的Binlog一样消费全局Binlog。 工作原理 DRDS由计算节点（Compute Node，简称CN）和存储节点（Data Node，简称DN）组成，存储节点为独立的RDS实例。CDC会存储DRDS实例的元信息，例如逻辑库和逻辑表的对应关系、物理库与物理表的对应关系、白名单表等。CDC使用dump协议，以slave的角色从各DN节点拉取Local Binlog（即RDS产生的Binlog），然后对Local Binlog进行整形、去重、合并等，最终生成全局Binlog。DRDS实例全局Binlog架构如下： 全局Binlog完全采用单机MySQL Binlog的格式，能够提供与单机MySQL数据库相同的使用体验。同时CDC支持dump协议，无论是将全局Binlog日志同步到下游的大数据系统，还是作为DRDS实例的的备份，均可通过直接订阅全局Binlog来实现。您只需在创建DRDS实例后，创建日志节点并完成初始化（也可以在创建DRDS实例时同步创建日志节点，待创建完毕后，再进行日志节点初始化操作），即可生成全局Binlog日志。 注意 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。

错误信息 说明 推荐的解决方案 日志中存在exit(0)。 容器中前台进程执行完毕正常退出。 非Job类型工作负载对应的Pod容器需要前台进程作为常驻进程，若前台进程执行完毕且无常驻进程，容器就会正常退出，kubelet检测到容器退出后重新拉起该容器，进而导致容器一直在重启。 修改容器主进程为常驻进程。 Event信息中存在Liveness probe failed:。 容器健康检查失败。 核查Pod中所配置的容器健康检查（Liveness Probe）策略是否符合预期，以及对应的健康检查条件是否满足。 Pod日志中存在no left space。 磁盘空间不足。 清理主机上不再需要的大文件或扩容磁盘。 启动失败，无Event信息。 可能是Pod中声明的Limit资源少于实际Pod进程启动所需资源。 检查Pod的资源配置是否正确。 Pod日志中出现Address already in use。 同一Pod中的Container端口存在冲突。 检查Pod是否配置了hostNetwork: true，这意味着Pod内的容器会直接与宿主机共享网络接口和端口空间。如果无需使用，请改为hostNetwork: false。 如果Pod需要使用hostNetwork: true，请配置Pod的反亲和性，确保同一副本集中的Pod被调度到不同节点。 检查并确保不存在也不会有两个或多个具有相同端口需求的Pod运行在同一台节点上。 检查主机上是否有主机进程占用了该端口，尽量避免在k8s节点主机上直接部署业务进程。 Pod日志中出现container init caused "setenv: invalid argument"": unknown。 工作负载中挂载了Secret，但Secret对应的值没有进行Base64加密。 通过控制台创建Secret，Secret对应的值会自动进行Base64加密。 通过YAML创建Secret，并执行echo n "xxxxx" base64命令手动对密钥值进行Base64加密。 无相关信息。 可能是业务Pod自身问题，如业务容器中进程启动参数有误。 查看Pod日志，通过业务日志内容排查问题。

本文档介绍路由级熔断功能的背景,生效方式以及验证效果。 背景信息 社区Istio提供DestinationRule进行熔断配置，以官方的一个demo为例 yaml apiVersion: networking.istio.io/v1 kind: DestinationRule metadata: name: reviewscbpolicy spec: host: reviews.prod.svc.cluster.local trafficPolicy: connectionPool: tcp: maxConnections: 100 http: http2MaxRequests: 1000 maxRequestsPerConnection: 10 outlierDetection: consecutive5xxErrors: 7 interval: 5m baseEjectionTime: 15m 可以看出DestinationRule提供的熔断功能，通过Envoy连接池实现对上游集群的限流熔断，并周期性检查一些异常指标，例如5xx错误，达到一定累积量则将该主机从连接池中隔离出去，从而实现熔断效果。显然，社区的熔断功能仅支持服务级别熔断，无法细化到路由级，熔断的情况下影响面比较大。 因此，CSM提供一种新的CRD CTGCircuitBreaker，可以限定仅作用于特定的路由，提供更细粒度的熔断控制。 本文以Bookinfo和Httpbin为例，模拟熔断效果。其中httpbin的熔断不会对bookinfo产生影响。 验证准备 部署网关 网关安装可以参考 应用服务网格入口网关。bookinfo的安装可以参考部署bookinfo应用到CSM实例。 网关deployment部署后，按以下规则配置VirtualService。这条规则表示网关后端分别路由到productpage和httpbin，分别按不同的url路由，两者互相独立，为了后续可以验证路由级的熔断，httpbin不会影响productpage的业务。 apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: bookinfo namespace: default spec: gateways: bookinfogateway hosts: bookinfo.com http: match: uri: exact: /productpage uri: prefix: /static uri: exact: /login uri: exact: /logout uri: prefix: /api/v1/products name: bookinfovs route: destination: host: productpage.default.svc.cluster.local port: number: 9080 match: uri: prefix: /httpbin name: httpbinroutename1 rewrite: uri: / route: destination: host: httpbin.foo.svc.cluster.local port: number: 8000

操作场景 在本节中，我们将介绍如何通过Windows操作系统中的远程桌面连接（MSTSC方式）登录到Windows弹性云主机，您可以方便地访问和管理弹性云主机的操作系统界面，以进行远程操作和配置。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 操作步骤 1. 在本地Windows主机的开始菜单中，点击"开始"按钮。 2. 在“搜索程序和文件”中，输入“mstsc”并点击打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，点击“选项”。 4. 在选项中，输入待登录的云主机的弹性IP和用户名（默认为Administrator）。 5. （可选）如果需要在远程会话中使用本地主机的资源，点击“本地资源”选项卡，并根据需求进行配置。可以勾选“剪贴板”来实现从本地主机复制到云主机的操作。 6. （可选）如果需要调整远程桌面窗口的大小，可以选择“显示”选项卡并调整窗口大小。 7. 点击“确定”，根据提示输入密码，登录云主机。首次登录云主机时，需要更改密码以提高安全性。 8. （可选）注意，使用远程桌面连接（RDP）方式登录云主机后，如果需要通过RDP将本地的大文件（文件大小超过2GB）复制粘贴到远程的Windows云主机中，由于Windows系统的限制，可能导致操作失败。

全量备份被删除后，还可以使用增量备份恢复数据吗？ 云硬盘备份在恢复数据时是不区分全量备份与增量备份的。支持从任意一个备份恢复云硬盘的全量数据，某一个备份被删除后，不会影响使用其他备份恢复数据。 举例：云硬盘按时间顺序先后生成a、b、c三个备份，每个备份都有数据变化。当备份b被删除后，备份a和备份c还是可以继续用于全量数据恢复。 云硬盘备份时可以终止备份吗？ 可以。云硬盘备份可以终止正在进行中的备份任务，暂时不能终止进行中的恢复任务和删除任务。 备份时长主要受云硬盘容量、备份类型、系统负载等因素影响。云硬盘容量越大，备份所需时间越长；全量备份通常耗时更长，而增量备份则相对更快。此外，可用区内其他租户的备份任务数量、当前租户的并发任务数也会对实际备份速度产生影响。当可用区内并发任务未超出备份服务处理能力上限时，单个备份任务的传输速度可达100MB/s左右；如并发任务数超出备份服务处理上限，多个任务之间会出现性能争抢，单个任务的备份完成时间会变长。因此，100GB数据的备份时长可能在20~50分钟之间，具体取决于上述因素的综合影响。如果您的备份任务长时间未完成，可以联系客服解决。 我如何查看云硬盘备份中的数据？ 您可以通过以下步骤进行查看： 1. 使用云硬盘备份创建新的云硬盘，具体操作步骤请参见使用备份创建新的云硬盘。 2. 将新创建的云硬盘挂载至同地域同一个可用区的云主机，相关操作请参考挂载云硬盘。 3. 登录弹性云主机，查看云硬盘中的数据。

旨在让管理员能够轻松查看并管理本租户下所有用户的训推服务使用情况 前置条件 账号为主账号或者角色为IAM管理员的子账号 操作步骤 1. 进入成员管理模块，成员管理详情页分为用户数据大盘以及用户列表两大板块。 2. 定位到用户数据大盘，设置时间范围，即可查看所选时间段内的总用户数、每日用户数、总付费用户数、每日付费用户数。付费用户指在平台使用了耗费算力的功能，比如模型训练的用户。 3. 定位到用户列表，可查看本租户下所有用户的基本信息如账号、名称、登录信息、任务信息、消耗资源信息以及消费金额信息，右侧操作列支持为每个用户【设置任务资源】，即最大可用GPU卡数/CPU核数。用户列表支持按用户名称筛选；右侧操作列还支持【分配资源】操作，此功能允许管理员为二级管理员分配专属集群资源，二级管理员可基于被分配的资源来进行AI作业，此功能再结合工作空间能力+账号权限体系，可匹配客户自身组织层级结构，实现多层级资源管理，进行AI作业，详见多层级资源管理最佳实践。 4. 导出资源分配明细： 1. 定位到用户列表，点击【导出】折叠按钮，选择资源分配明细，可导出页面选择时间范围内的二级管理员资源分配明细表。 2. 该功能仅导出列表中二级管理员的分配明细，不统计其他用户。 3. 表格数据给出了二级管理员在集群卡型号维度的卡时分配量，该统计值会考虑资源分配的变动，例如，二级管理员A在1月1日分配卡数为1卡，在1月2日分配卡数为2卡，那么1月1日至2日的分配卡时为124+22472卡时。

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

为什么备份已删除但显示的剩余空间依旧没有变化？ 备份已删除后，有可能会出现显示的剩余空间依旧没有变化的情况。这是由于异步删除引起的，界面删除备份后将不会再产生费用，底层的备份数据也会在3天后根据备份大小逐步删除，在底层实际删除后显示的剩余空间也会删除相应的容量。 为什么备份中文件系统容量和备份大小不一致？ 常见的现象为，在云主机中存放了文件并进行了备份，新增或删除文件后进行再次进行备份，前后备份的大小并没有变化。ECS创建的备份比文件系统查询到的磁盘占用空间大。 以下原因可能造成上述文件系统与备份大小不一致： 文件系统的元数据会占用磁盘空间。 磁盘进行了格式化操作，例如Windows系统正常格式化操作后，全盘数据有写入操作，备份软件需要备份全盘的数据，备份软件会对这种情况优化，全0的数据会进行压缩处理。 备份软件是通过监控存储I/O的写入来确定哪些数据产生了变化需要备份。系统中的文件删除后也会被记录为变化的数据，也会被备份。 如何停止自动备份？ 磁盘会自动备份是因为磁盘绑定了备份策略，且备份策略为开启的状态。您可以通过解绑磁盘和停用备份策略来停止自动备份。 1. 登录云硬盘备份控制台。在策略页签中，展开目标策略。 2. 在已绑定的云硬盘列表中勾选一个或多个云硬盘，单击列表上方的“解绑”。 弹出“解绑磁盘”对话框。 3. 确认解绑云硬盘信息后，单击“确定”。“绑定的云硬盘”页签下不再显示该备份策略已解绑的云硬盘。 4. 选择目标策略。单击“操作”列下的“更多 > 停用策略”，关闭备份策略。

本文介绍什么是边缘函数、产品优势、核心功能、相关术语、函数工作原理、使用说明等。 为什么选择边缘函数 千人千面，个性化定制，源站计算成本高： 企业网站为了提升用户转化率，往往需要在源站服务器根据用户历史数据，计算出千人千面的个性化推荐结果。一方面给源站服务器带来较大的计算成本，另一方面由于中心化部署带来的网络时延，企业更加容易错失商机。 应对流量洪峰，资源无法弹性伸缩： 中心源站为了应付突发场景预留较多的计算服务器，往往出现资源冗余。如果预留资源不够，则更加容易导致服务出错。 业务上线周期长： 新业务上线、活动页面搭建，在传统模式里需要调动研发、运营、运维多方人力，整体上线周期较长，人力成本高。 什么是边缘函数 针对以上三大挑战，天翼云CDN加速产品推出边缘函数。 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云全球2000多个边缘节点上，就近生成千人千面的个性化响应结果。 研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 产品优势 在边缘节点就近响应用户请求，大大减少回源带来的网络时延。 采用WebAssembly技术，将函数冷启动优化到5微秒，把对网络时延的影响降到最低。 相对于传统的容器技术，无需预留实例资源。 按照用户实际的使用量计费，并且精确到请求调用次数。对比传统的云虚拟机，提供更大的资源利用率和更低的成本。 当业务流量突增时，边缘函数全网快速调度，弹性伸缩，支持全网上百万QPS的超高并发。 企业研发人员使用边缘函数部署业务时，无需关注部署地区，无需进行资源规划，彻底免去底层机器的运维和管理，释放人力成本。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

漏洞扫描是否支持IPv6？ 自身支持IPv4和IPv6两种网络协议的部署，也支持对IPv4和IPv6协议的目标进行扫描，包括域名类型。 漏扫扫描时是否会影响业务？ 主机扫描：通过发送数据包来探测目标是否存活、开放的端口、运行的服务和版本信息等，理论上不会出现任何的影响，但是不排除由于防火墙的设置导致的服务宕机、由于目标服务对发送的报文处理导致的宕机等，一般情况下基本不会产生，实际漏扫引擎已经做了很多规避策略，但不能保证100%无影响，市面上的漏扫原理基本一样。 网站扫描：原理是模拟用户的正常HTTP请求和模拟黑客的无害攻击，一般来说是不会影响被扫描对象的业务正常运行，但是如果对方服务器的并发连接数本身就较低，那么可能会导致服务中断，需要重启中间件，漏扫引擎具备动态流控的功能，该影响的概率极低基本不会发生。 基线配置核查：原理与数据库扫描类似，主要是查询相关配置，可能会产生临时文件和删除临时文件操作，但不会影响业务。 授权扫描和非授权扫描有什么区别？ 漏扫的扫描方式包括授权扫描和非授权扫描两种，也有称登录扫描和非登录扫描，实际是一个含义。 授权扫描：在对目标进行漏洞扫描的过程中，要输入帐号、密码等信息，属于“登录授权”进行的扫描。因为通过输入帐号信息登录后进行的扫描，因此扫描获得的信息更多，漏洞也将发现的更多，且误报率更低。（适用于主机扫描、数据库扫描、网站扫描、基线核查四大扫描模块） 非授权扫描：不需要目标的账户密码等授权信息即直接扫描，通过远程探测目标的信息来判断漏洞，可能会产生误报和漏洞（适用于主机扫描、网站扫描量大扫描模块）。

域名组是多个域名或泛域名的集合。您可以通过添加域名组批量对域名或泛域名进行防护。 提供以下两种类型： 应用域名组：支持域名 或泛域名的防护；适用应用层协议，支持HTTP、HTTPS的应用协议类型；通过域名匹配。 网络域名组：支持单个域名 或多个域名的防护；适用网络层协议，支持所有协议类型；通过解析到的IP过滤。 匹配策略 应用域名组：CFW会将会话中的HOST字段与应用型域名进行比对，如果一致，则命中对应的防护规则。 网络域名组：CFW会在后台获取DNS服务器解析出的IP地址（每15s获取一次），当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中（已从DNS服务器解析中获取到IP地址），则命中对应的防护规则。 单个域名最大支持解析1000条IP地址；每个域名组最大支持解析1500条IP地址。解析结果达到上限，则无法再将新域名添加到域名组中。 说明 映射地址量大或映射结果变化快的域名建议优先使用应用域名组（如被内容分发网络（CDN）加速的域名）。 约束条件 域名组成员不支持添加中文域名格式。 域名组中所有域名被“防护规则”引用最多40000次，泛域名被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

FTP/SFTP远程备份失败怎么办？ 问题现象 云堡垒机配置了FTP/SFTP远程备份，报“请检查服务器密码或网络连接情况”错误，不能启动远程备份。 选择备份具体某一天日志，提示“备份正在执行”，但远程服务器未接收到该备份文件。 可能原因 原因一：云堡垒机配置的FTP/SFTP服务器账户或密码错误，导致远程备份失败。 原因二：云堡垒机与FTP/SFTP服务器的网络连接不通，导致远程备份失败。 原因三：FTP/SFTP服务器用户目录限制文件上传，导致远程备份失败。 原因四：被选择日期当天的运维日志量大，备份传输速率慢，长时间未备份完成，导致在远程服务器不能及时查看备份文件。 解决办法 原因一： 登录ECS管理控制台，VNC方式登录一台Linux主机，通过Linux主机登录FTP/SFTP服务器，验证服务器账户和密码。验证成功后，重新配置FTP/SFTP服务器远程备份账户和密码，尝试备份。 原因二： 登录云堡垒机系统，通过网络诊断，检查与FTP/SFTP服务器之间网络连接情况。 网络连接正常，请排查其他可能原因。 网络连接异常，请参考CBH安全组规则，检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口；检查FTP/SFTP服务器主机的ACL是否放开22端口，并添加云堡垒机公网IP（即弹性IP）为允许。 原因三： 开启用户目录上传权限。 登录云堡垒机系统，选择“系统 > 数据维护 > 日志备份”，重新正确配置FTP/SFTP服务器的“存储路径”。 说明 “存储路径”置空表示备份内容存放到FTP/SFTP服务器用户的主目录下，例如绝对路径/home/用户名；配置的路径需以英文句号开头，例如配置路径为 ./test/abc，则其绝对路径为/home/用户名/test/abc。 原因四： 请您耐心等待，建议备份启动后的第二天再查看服务器上备份文件。

本文介绍如何使用全站加速跨账号下的媒体存储【即对象存储（融合版）】资源。 背景说明 通过全站加速来访问媒体存储【即对象存储（融合版）】资源，可加快用户访问速度，提升用户体验。本文介绍如何使用全站加速来加速媒体存储【即对象存储（融合版）】的资源，提升存储资源访问速度，解决存储文件访问量大、并发高、异地访问等瓶颈问题。 配置说明 在执行以下步骤前，请确认您已在媒体存储【即对象存储（融合版）】上创建存储空间，同时已经开通全站加速服务。 步骤一：获取Bucket域名 登录媒体存储【即对象存储（融合版）】控制台。 单击左侧导航栏【对象存储】【Bucket列表】。 在【Bucket列表】页面，单击目标Bucket，再单击【基础配置】。 查看基本信息里的访问域名，获取【Bucket域名】。 步骤二：配置全站加速源站为媒体存储【即对象存储（融合版）】的Bucket域名 登录客户控制台。 单击左侧导航栏【域名管理】【域名列表】。 在【域名列表】页面，单击目标域名对应的【编辑】按钮或者【添加域名】按钮。 1. 编辑域名：单击【回源配置】，单击【添加源站】，源站类型选择【媒体存储源站】，在【源站】列填入Bucket域名，在【层级】行选择“主”或“备”，输入权重等，点击【保存】。 2. 新增域名：找到【回源配置】和【默认回源HOST】。单击【新增源站】，选择【媒体存储源站】填入Bucket域名，并按需配置【基础信息】、【Https配置】、【缓存设置】、【访问控制】，单击【添加域名】。

本章节主要介绍ALM18013 ResourceManager直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测ResourceManager服务直接内存使用状态，当检测到ResourceManager实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18013 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 ResourceManager可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点ResourceManager实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18013 ResourceManager直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > ResourceManager（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“ResourceManager内存使用详情”。查看直接内存使用情况。 3.查看ResourceManager使用的直接内存是否已达到ResourceManager设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > ResourceManager > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启ResourceManager实例。 7.查看告警信息，是否存在告警“ALM18008 ResourceManager堆内存使用率超过阈值”。 是，查看“ALM18008 ResourceManager堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

本章节主要介绍ALM18015 JobHistoryServer直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测MapReduce服务直接内存使用状态，当检测到JobHistoryServer实例直接内存使用率超出阈值（最大内存的90%，默认阈值）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 MapReduce可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点JobHistoryServer实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18015 JobHistory直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 实例 > JobHistoryServer（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“JobHistoryServer内存使用详情”。查看直接内存使用情况。 3.查看MapReduce使用的直接内存是否已达到MapReduce设定的最大直接内存的90%。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 配置 > 全部配置 > JobHistoryServer > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启JobHistoryServer实例。 7.查看告警信息，是否存在告警“ALM18009 JobHistoryServer堆内存使用率超过阈值”。 是，查看“ALM18009 JobHistoryServer堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

配置VPN连接的本端子网和对端子网时需要注意什么？ 子网数量满足规格限制，数量超出规格限制请进行聚合汇总。 每VPN网关配置的本地子网数量：50 每VPN连接支持配置的对端子网个数：50 本端子网不可以包含远端子网，远端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接：若这两条连接的远端子网存在包含关系，在访问的目的网络处于交集网段部分时，按照创建连接的先后顺序匹配VPN连接，且与连接状态无关（策略模式不能按照掩码长度进行匹配）。 创建VPN连接后业务已通，但网页上的连接状态还是显示未连接？ VPN连接状态刷新存在一定的延迟，业务已通但是网页上VPN连接状态还是未连接是正常现象。 如果数据面已正常（即业务访问已正常），连接就已经完成建立了，短暂等待后VPN连接状态就会更新为“已连接”。 修改协商策略后，页面显示资源不存在，如何处理？ 此问题为页面刷新周期问题。 在修改连接高级策略时，系统会先删除，再重建VPN连接，如果在页面创建过程中出现短暂的删除中或创建中属于正常现象，切勿重复创建同一连接（本端子网、对端子网、对端网关相同的连接）； 如果页面长时间停留在删除或创建中，请提交工单解决。 VPN网关最大支持多大带宽？ VPN网关规格最大支持1Gbit/s。 创建VPN连接时如何选择IKE的版本？ 推荐您选择IKEv2进行协商，其原因是IKEv1的版本存在一定的安全风险，且IKEv2在连接的协商建立过程，认证方法支持，DPD超时处理，SA超时处理上都优于IKEv1。 云将大力推进IKEv2的使用，逐步停用IKEv1协商策略。

本文主要介绍数据库连接 外部服务器能否访问文档数据库实例 外部服务器不能直接访问DDS实例，访问方式如下： 将DDS实例与弹性云主机（Elastic Cloud Server，简称ECS）创建在同一个VPC下，通过ECS来访问DDS实例。 对于开通公网访问功能的DDS实例，可以通过外网进行访问。 什么是文档数据库连接数 数据库连接数表示应用程序可以同时连接数据库的数量，与您应用程序或者网站能够支持的最大用户数没有关系。 对于集群实例，一般指客户端同mongos之间的连接数。 对于副本集实例，一般指客户端同Primary节点和Secondary节点之间的连接数。 实例的连接数满怎么处理？ 连接数满的提示 使用Mongo Shell连接实例时，出现以下提示，表示当前连接池的连接数已满。 图 提示信息 使用Python连接实例时，出现以下提示，表示当前连接池的连接数已满。 pymongo.errors.ServerSelectionTimeoutError: connection closed, connection closed 处理方法一 您可以查询节点当前连接数，以及当前连接来源，分析各个终端和DDS实例分别建立了多少连接，并作出相应调整，具体请参见如何查询及限制连接数。 处理方法二 实例的最大连接数可通过修改参数“net.maxIncomingConnections”的值进行调整，修改后重启实例生效。如何修改参数值请参见编辑参数组。 如果参数值是“default”，表示最大连接数为缺省值，并且与实例的规格相关，具体请参见数据库实例规格。 如果调整连接数过大，可能导致服务崩溃，这时只能通过变更实例规格增加承载的连接数的数量，具体请参见变更集群实例的节点。 如果实例参数组为默认参数组，由于默认参数组中不允许修改参数值，您可以创建一个参数组，并修改对应参数值，修改后将新参数组关联到该实例，具体请参见变更参数组。